Miglior successo #SecOps 2024
Dopo il successo del primo Web Penetration Test eseguito per una nota software house, il gruppo offensive del sircle SecOps ha avuto l’opportunità di lavorare nuovamente con loro per un secondo ciclo di verifica della sicurezza. Questa nuova collaborazione è stata non solo un’occasione per consolidare la fiducia del cliente nei nostri servizi, ma anche per dimostrare un ulteriore livello di valore aggiunto.
Il primo Web Penetration Test aveva come oggetto un sistema di whistleblowing, fondamentale per garantire l’anonimato e la protezione dei segnalanti. Dopo quell’intervento, il cliente aveva già ottenuto notevoli miglioramenti in termini di sicurezza. Tuttavia, per questo secondo incarico, ci siamo focalizzati su un sistema completamente diverso: il software di gestione delle buste paga dei dipendenti dei clienti della software house un ambito altrettanto critico in termini di riservatezza e protezione dei dati.
Il cliente, già soddisfatto dalla precedente esperienza, ha deciso di affrontare questo secondo test con entusiasmo, consapevole dell’importanza di mantenere un livello di sicurezza elevato in un contesto digitale sempre più complesso. Il nostro obiettivo era non solo individuare nuove vulnerabilità, ma anche accompagnare il cliente in un percorso di miglioramento continuo delle proprie difese informatiche.
Durante l’esecuzione del test, il nostro team ha applicato una metodologia strutturata e approfondita, analizzando l’intero perimetro applicativo del sistema web. Nonostante i progressi significativi fatti dalla software house in termini di sicurezza dopo il primo test, siamo riusciti a individuare alcune vulnerabilità rilevanti che, se sfruttate, avrebbero potuto compromettere la sicurezza complessiva, ne riporto solo alcuni esempi tra i più critici e famosi
Vulnerabilità riscontrate:
Cross-Site Scripting (XSS) (CWE-20): Questa vulnerabilità consentiva a un attaccante di rubare la sessione di un utente e accedere a informazioni sensibili.
Errata gestione dei privilegi (CWE-285): Un utente non autorizzato poteva modificare la password dell’account SuperAdmin, ottenendo privilegi elevati per gestire l’intera applicazione web. Questo avrebbe permesso di accedere a dati sensibili, navigare tra le informazioni di altri utenti e persino cancellare account.
Cross-Site Request Forgery (CSRF) (CWE-252): La vulnerabilità permetteva a un attaccante di indurre un utente a eseguire azioni non desiderate senza il proprio consenso.
File Upload senza restrizioni (CWE-434): Tramite questa vulnerabilità, siamo stati in grado di caricare una webshell che ci ha garantito il totale accesso al server, con conseguenze potenzialmente devastanti per la sicurezza.
La scoperta di queste vulnerabilità ha permesso al cliente di intraprendere azioni mirate per mitigare i rischi, confermando ancora una volta il valore assoluto di un Web Penetration Test periodico. Una delle più significative è stata una vulnerabilità di Remote Code Execution (RCE) derivante dalla gestione inadeguata dell’upload dei file, che avrebbe potuto consentire a un attaccante di eseguire codice arbitrario sul server. Questa scoperta ha evidenziato la necessità di un intervento immediato, che abbiamo prontamente supportato fornendo indicazioni dettagliate e soluzioni di remediation.
Inoltre, il successo di questo progetto è andato oltre la semplice identificazione delle vulnerabilità. Siamo riusciti a sensibilizzare ulteriormente il cliente sull’importanza di adottare pratiche di sviluppo sicure. Ciò ha portato loro di decidere di investire in un corso di 40 ore sulla scrittura di codice sicuro, progettato e offerto dal nostro sircle SSL guidato da Luca Famà. Questo passo rappresenta un impegno concreto verso la costruzione di una cultura aziendale orientata alla sicurezza e alla prevenzione dei rischi.
Questo secondo Web Penetration Test ha rafforzato la fiducia della software house nella nostra capacità di offrire servizi di alto valore. Grazie alla scoperta di vulnerabilità significative e all’implementazione di misure correttive, il cliente ha potuto migliorare ulteriormente il proprio livello di sicurezza. Inoltre, il loro impegno a lungo termine, rappresentato dall’investimento in formazione, sottolinea il successo di un approccio collaborativo e proattivo alla cybersecurity.
Siamo orgogliosi di aver contribuito al miglioramento continuo della loro sicurezza e non vediamo l’ora di supportarli ulteriormente nei loro futuri progetti.
Tantissimi auguri di buone feste dal vostro amichevole reporter di quartiere
SecOps had the opportunity to work with them again for a second round of security verification. This new collaboration was not only an opportunity to solidify customer confidence in our services, but also to demonstrate an additional level of added value.
The first Web Penetration Test was on a whistleblowing system, which was critical to ensure anonymity and protection of whistleblowers. After that intervention, the client had already achieved significant security improvements. However, for this second assignment, we focused on a completely different system: the software house's payroll management software for employees of the software house's clients an area equally critical in terms of confidentiality and data protection.
The client, already satisfied with the previous experience, decided to tackle this second test with enthusiasm, aware of the importance of maintaining a high level of security in an increasingly complex digital environment. Our goal was not only to identify new vulnerabilities, but also to accompany the client on a path of continuous improvement of its cyber defenses.
During the execution of the test, our team applied a structured and thorough methodology, analyzing the entire application perimeter of the web system. Despite the significant progress made by the software house in terms of security since the first test, we were able to identify some relevant vulnerabilities that, if exploited, could have compromised the overall security, I report just a few examples among the most critical and famous ones
Vulnerabilities found:
Cross-Site Scripting (XSS) (CWE-20): This vulnerability allowed an attacker to steal a user's session and access sensitive information.
Error Privilege Management (CWE-285): An unauthorized user could change the SuperAdmin account password, gaining elevated privileges to manage the entire web application. This would have allowed access to sensitive data, browse other users' information, and even delete accounts.
Cross-Site Request Forgery (CSRF) (CWE-252): The vulnerability allowed an attacker to induce a user to perform unwanted actions without their consent.
Unrestricted File Upload (CWE-434): Through this vulnerability, we were able to upload a webshell that granted us total access to the server, with potentially devastating security consequences.
The discovery of these vulnerabilities allowed the client to take targeted actions to mitigate the risks, once again confirming the absolute value of regular Web Penetration Testing. One of the most significant was a Remote Code Execution (RCE) vulnerability resulting from inadequate handling of file uploads, which could have allowed an attacker to execute arbitrary code on the server. This discovery highlighted the need for immediate action, which we promptly supported by providing detailed guidance and remediation solutions.
Moreover, the success of this project went beyond simply identifying vulnerabilities. We were able to further raise the client's awareness of the importance of adopting secure development practices. This led them to decide to invest in a 40-hour course on writing secure code, designed and offered by our SSL sircle led by Luca Famà. This step represents a concrete commitment toward building a corporate culture geared toward security and risk prevention.
This second Web Penetration Test has reinforced the software house's confidence in our ability to offer high-value services. By discovering significant vulnerabilities and implementing corrective measures, the client was able to further improve their security level. In addition, their long-term commitment, represented by their investment in training, underscores the success of a collaborative and proactive approach to cybersecurity.
We are proud to have contributed to the continuous improvement of their security and look forward to supporting them further in their future projects.
All the best for the holidays from your friendly neighborhood reporter